Icefall: 56 fallas afectan a miles de dispositivos industriales expuestos

Se ha publicado un informe de seguridad sobre un conjunto de 56 vulnerabilidades que se denominan colectivamente Icefall y afectan a los equipos de tecnología operativa (OT) utilizados en varios entornos de infraestructura crítica.

La colección Icefall ha sido descubierta por investigadores de seguridad en los laboratorios Vedere de Forescout y afecta a los dispositivos de diez proveedores. El tipo de fallas de seguridad incluidas permiten la ejecución remota de código, credenciales comprometidas, cambios de configuración y firmware, omisión de autenticación y manipulación lógica.

Los proveedores afectados incluyen a Honeywell, Motorola, Omron, Siemens, Emerson, JTEKT, Bentley Nevada, Phoenix Contract, ProConOS y Yokogawa. Han sido notificados en una divulgación responsable coordinada por Phoenix Contact, CERT VDE y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ( CISA ).

En los últimos años, el tipo de sistemas afectados por Icefall se ha convertido en un objetivo más frecuente de los programas maliciosos especializados Industroyer 2 y CaddyWiper, ambos desplegados no hace mucho por piratas informáticos rusos  contra centrales eléctricas ucranianas.

Resumen de vulnerabilidades

Las fallas descubiertas por Vedere Labs se refieren principalmente a la seguridad de las credenciales, la manipulación del firmware y la ejecución remota de código, mientras manipulan la configuración y crean una cuenta de estado de denegación de servicio (DoS) para un número menor.

vuln-types

Forescout señala en su informe que "muchas vulnerabilidades se deben a la naturaleza insegura por diseño de los OT", y agrega que "muchos esquemas de autenticación están rotos", lo que muestra controles de seguridad insuficientes en la etapa de implementación.

Como ejemplo, los investigadores señalan que muchos dispositivos usaban credenciales de texto sin formato, criptografía débil o rota, claves codificadas y autenticación del lado del cliente.

Estas fallas de autenticación allanan el camino para que los actores de amenazas logren la ejecución remota de código (RCE) y la condición DoS, o instalen imágenes de firmware maliciosas. La manipulación operativa directa mediante la emisión de comandos en los dispositivos de destino o aquellos detrás de ellos es otro riesgo que destacan los investigadores.

Consecuencias potenciales

Icefall afecta a una amplia gama de dispositivos utilizados en numerosos sectores industriales, lo que los hace muy atractivos, especialmente para los adversarios patrocinados por el estado.

Algunos escenarios que, según Forescout, podrían derivarse de los actores de amenazas que aprovechan Icefall incluyen la creación de falsas alarmas, el cambio de puntos de ajuste de flujo, la interrupción de las operaciones SCADA o la desactivación de los sistemas de seguridad contra incendios y apagado de emergencia.

Para demostrar sus hallazgos y el potencial de riesgo, los investigadores utilizaron una generación de energía eólica y un sistema de transporte de gas natural, mostrando dónde se encuentran las diversas fallas de Icefall y cómo podrían encadenarse para lograr niveles más profundos de compromiso.

wind-gen
natural-gas

Los dispositivos afectados están dispersos por todo el mundo. Los analistas usaron Shodan para escanear Internet en busca de sistemas vulnerables expuestos y encontraron los siguientes seis principales:

  • Honeywell Saia Burgess: 2924 dispositivos en Italia, Alemania, Suiza, Suecia y Francia.
  • Controladores Omron: 1305 dispositivos en España, Canadá, Francia, EE. UU. y Hungría.
  • Phoenix Contact DDI: 705 dispositivos en Italia, Alemania, India, España y Turquía.
  • ProConOS SOCOMM: 236 dispositivos en China, EE. UU., Alemania, Singapur y Hong Kong.
  • Honeywell Trend Controls: 162 dispositivos en Francia, Dinamarca, Italia, España y el Reino Unido.
  • Emerson Fanuc /PACSystems: 60 dispositivos en EE. UU., Canadá, Polonia, Taiwán y España.

En particular, el 74 % de las familias de productos vulnerables había sido certificada por su seguridad, lo que refleja que estos procedimientos no son infalibles ni lo suficientemente completos.

Posibilidades de mitigación

La principal recomendación de seguridad es aplicar las actualizaciones de firmware más recientes del proveedor. En este momento, sin embargo, no todos los proveedores mencionados han publicado correcciones para Icefall y también hay proveedores intermedios que deben tomar medidas.

Hasta que una solución esté disponible o pueda instalarse, se recomienda encarecidamente a los administradores del sistema que segmenten la red y supervisen el tráfico y la actividad del dispositivo.

Descubrir y reemplazar productos vulnerables con dispositivos "seguros por diseño", así como instalar conmutadores físicos, son buenos métodos para reducir el cambio de un compromiso.

Forescout encontró el conjunto de vulnerabilidades de Icefall a través de un análisis manual y automatizado en profundidad de los componentes de software, firmware y hardware. La compañía ha publicado un informe técnico más detallado , que describe todas las vulnerabilidades menos cuatro que afectan a un proveedor, que aún están bajo divulgación.

Se recomienda a las empresas que sigan los avisos de seguridad de cada proveedor para conocer más detalles sobre el impacto específico que tiene cada vulnerabilidad en un producto afectado.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies